Sep. 2021No.92

個人情報からプライバシーへ改正個人情報保護法とプライバシーガバナンス

NII Today 第92号

Interview

プライバシーを守るということ

学術研究にデータ安全管理の視点を

2021年5月、個人情報保護法の改正案が国会で可決・成立した。保護制度を官民で一元化するとともに、学術研究に関わる規定の見直しを図ったもので、個人に関わるデータを扱う研究の現場にも多大な影響を与える。情報法制に詳しい東京大学の宍戸常寿教授(NII客員教授)に、パーソナルデータの取り扱いやプライバシー保護の体制について、学術機関および研究者個人が留意すべきポイントを解説してもらった。

宍戸 常寿

SHISHIDO George

東京大学大学院法学政治学研究科 教授
国立情報学研究所 客員教授
1997年東京大学法学部卒業。東京大学大学院法学政治学研究科助手等を経て、2013年より東京大学大学院法学政治学研究科教授。内閣官房IT総合戦略本部「パーソナルデータに関する検討会」委員(2013~2014年)、内閣官房「個人情報保護制度の見直しに関する検討会」構成員(2020年)などを務める。専門は憲法・情報法。『新・判例ハンドブック情報法』(編著、日本評論社、2018年)、『AIと社会と法』(共編著、有斐閣、2020年)等著作多数。

浅川 直輝氏

聞き手ASAKAWA Naoki

日経コンピュータ編集長
2003年東京大学大学院物理学修士修了、日経BP入社。2010年豪ボンド大学MBA修了。日経エレクトロニクス、日本経済新聞の記者を経て現職。

プライバシーを守るとは?

─近年、個人情報保護法の改正が相次ぎ、非専門家にとって守るべきルールがわかりづらくなっている印象があります。そもそも「プライバシーを守る」とはどういうことなのでしょうか。

宍戸 かつてプライバシーとは「私生活の平穏を守ること」でした。政治や社会、経済など公共空間での活動と、家の中でくつろいだり友人や家族と親密な関係を築いたりする私的空間での活動との間に線を引いて、私生活の平穏を守るのが古典的なプライバシーの保障だったのです。
 歴史を振り返ると、科学技術の発達とともにプライバシーの概念は変化していきました。まず、19世紀末に携帯用カメラや新聞などが発達したことで、「私生活を守る」という意識が高まりました。20世紀になり、データ処理の技術が発達すると、政府や企業が保有する個人のデータが結合され、マッチングされる危険性があるのではないか、という新たな懸念が生じました。
 これに対応して、ある程度公になっている情報であっても、それがみだりに使われたり、あるいはその文脈を離れて第三者に提供されたりすることはプライバシーの侵害だという考え方が広がりました。1960年代以降、欧米において「自己情報コントロール権」あるいは「情報自己決定権」と呼ばれた考え方です。こういった新たな権利がないと、私たちが安心して自分らしく生きていくことが非常に難しくなっているという考えが、現代のプライバシー保護の議論につながっています。
 近年はITの発展に伴い、企業が消費者の行動情報を大量に収集できるようになりました。企業は自らの消費やサービスに紐づけて消費者の情報を収集することで、政府よりもはるかに多くの情報を持つようになりました。複数の企業の間でデータが流通することもあります。さらに、企業の保有データに対して政府がアクセスしたり、企業と政府の間で情報を連結したりするようになると、全面的に「個人の生き方」を把握できるようになります。

個人情報保護法だけではプライバシーを守れない

─「データプライバシー」への関心の高まりを受け、日本では2005年に個人情報保護法が施行され、その後も2015年、2020年、2021年と改正を繰り返しています。1プライバシー保護の文脈で、個人情報保護法制はどのような役割を担っているのですか。

宍戸  前提として、プライバシー保護と個人情報保護法制は、重なり合う部分とずれている部分があります。プライバシー保護は、個人の主観的な権利として「自らの私生活の平穏を侵害しないでほしい」「自身のデータをこうした目的で使わないでほしい」といったことを政府や企業などに求める権利です。
 一方で個人情報保護法制は、個人に関わる情報、いわゆるパーソナルデータが社会の中で流通し利活用されることに価値があることを前提としつつ、一方で利活用によってプライバシーを含む個人の権利・利益が侵害されることがないよう、大きな枠組みとしてつくられている法律です。
 同法は、保有する情報の形態がいわゆる散在情報か、データベースの中で管理された個人データか、保有個人データなのかに応じて、「利用目的 を特定してその範囲内で使いなさい」「第三者提供2する場合には原則として本人同意を取りなさい」「本人からの開示請求に応じなさい」等の義務を定めています。情報の形態に応じて、データに関わる本人とデータを取り扱う主体の間で形式的に権限分配をしている法律だといえます。
 個人情報保護法制がプライバシーを守ることにある程度機能していることは確かですが、とりわけ自己情報コントロール権の観点から見た場合、本人によるコントロールが全面的に及んでいるわけではありません。
 データの内容や性質、本人に与えるダメージの大きさに応じたプライバシー保護の仕組みとしては、個人情報保護法ではなく別のルールも適用されます。例えば、医療分野であれば、医師法における「医師の守秘義務3」、電気通信事業者であれば「通信の秘密4」といった規律があります。
 学術の分野においても、形式的に個人情報保護法を遵守して「同意を取ったから大丈夫だろう」と研究者が思っていても、実はそれだけでは足りないこともあるのです。

学術研究に大きな影響を与える2021年改正法

─ 2021年5月に可決された改正法では、民間病院と公営病院について保護基準をそろえたり、学術分野での例外規定を見直したりといった変更がありました(図1)。

宍戸  これまで、民間の学術機関については学問の自由を尊重する観点から、個人情報取扱事業者としての義務規定の適用を除外する、あるいは個人情報保護委員会の権限行使を差し控えるといった整理がされてきました。
 それはそれで当時の立法として一定の合理性があったと私は思います。ただ現代の研究は、以前よりもデータへの依存が高まっています。研究における個人情報の取り扱いをより安全・安心なものにすることは、研究を阻害するというより、むしろ促進するものです。そこで2021年改正法では、研究目的であれば民間部門について一律適用除外だったところを、規律を適用する方向に転換しました。
  これまで国立大学法人や公的研究機関には個人情報のルールがかかっていた一方、民間部門にはかかっていませんでした。2021年改正法で双方に同じルールを適用したことで、両主体の間で研究目的の個人データを流通させやすくなるわけです。ルールの違いを必要以上に気にしなくてすみますし、データを渡した先でも自組織と同じような安全管理措置が取られているはずなので安心して渡すことができるようになります。
 他方、学術研究が政府に監督されるようになれば、学問の自由や大学の自治において非常に大きな問題を起こす可能性もあります。2021年改正法ではこの点に関して慎重に配慮した結果、安全管理措置や個人の権利・利益に関わる個人データの開示請求については民間企業と同様の規律を適用する一方、利用目的の制限や個人データの提供については適用除外としたのです。学問の自由と個人データ保護のバランスを見直した形ですね。

安全管理体制整備など、山積する課題

─ 学術機関で最も手間がかかりそうなのが安全管理措置の体制整備でしょう。民間企業も相当に苦労しています。何から着手する必要がありますか。

宍戸  安全管理措置の体制整備とは、一言でいえば、データガバナンス体制の構築と実施に尽きます。それは企業や学術機関を問わず、どのような主体でも同じです。
 大学や研究機関について言えば、まず自分たちがどのような研究をしているのか、その研究のためにどのようなデータを持ち、どのように使っていて、誰がアクセス可能なのか、こうした項目の棚卸しから始める必要があります。
 この棚卸しをもとに、研究機関が取り扱うデータはどのような内容・性質で、データに関わる本人にとってどのようなリスクが生じるか、などを洗い出します。そのうえで、こうしたリスクを踏まえた安全管理のルールをつくります。
 もちろん、個々の研究者や研究機関が手掛けるにはとんでもなく大変な作業です。やはり学術界全体として、自主規範や、学術機関向けのガイドブック、チェックリストのようなものをつくる必要があるでしょう。
 一方、こうした作業とは別に、学術界をあげて議論が必要な点が2つあります。
 1つは個人データの越境移転の問題です。例えば外部からデータを受け取る、外部のサーバに保存する、外部の研究機関に取り扱いを委託するといった場合です。このデータ移転が国内で閉じていれば問題は少ないのですが、普遍的な知の創造をめざす研究活動の観点からすれば、どうしてもデータが国外に出ていくことになります。
 特に研究大学は、海外の研究者を招いたり、海外から大学院生や若手の研究者を受け入れたりして一緒に研究しています。そこには、本来の狭い意味での個人データ保護を超えた、経済安全保障などの議論も含めたさまざまなリスクの問題が同時に入り込んできます。
 データという観点から研究を制約するルールは、国内で閉じたものにはなり得ません。海外のルールの動向についてアンテナを張りつつ、国内のルールを整備する必要があります。その点が今回の法改正の後、学術界全体で取り組むべき課題だろうと思います。
 もう1点は産学連携です。研究者は研究を通じて普遍的な知を生み出すと同時に、産学連携を通じて研究成果を新しい商品・サービスの開発に使うことがあります。さらに、その知見が個人データに関わる本人、あるいは本人の属するクラスター(集団)に何らかの形で影響する場面もあります。
 2021年改正法の下では、民間の研究機関も主たる目的が学術研究であれば学術研究機関等に該当すると判断されるので、産学連携が進む現在の研究環境には配慮されています。しかしデータを提供する側から見ると、知の創造に使われる部分と、研究が深まった結果として創薬などに使われて社会に還元される部分、さらにはマーケティングなどになし崩し的に使われる部分などと、それぞれの使われ方によって本人の受容性が違ってくると思います。産学連携においては法が認める要件とは別に、学術機関としてルールをつくり、データの提供者や社会に説明する、といった透明性やガバナンスの確保が求められることになるでしょう。

産学連携と越境移転について

─ 学術機関であっても、製品開発を目的として個人情報等を取り扱う場合は「学術研究目的」とは解されない、というのが現時点での個人情報保護委員会4の解釈です。産学連携において、この点の解釈をめぐる混乱はありますか。

宍戸  恐らくこれから問題になってくるでしょう。これまでは、産学連携にコミットする産業界と研究者の双方で、その点に深い関心を持って詰めていくこと自体がなかったように思います。今後はそこをきっちり詰めておかないと、非常に大きな問題が起きるのではないかと考えています。
 産学連携については、そもそも学術研究目的とは言えないようなデータの使い方もあれば、研究と開発が非常に近く、区別自体が難しい分野もあります。医学は後者でしょう。そう考えてみると、個々の研究分野ごとに、産業界との連携を含めたデータの取り扱いについてもう一度きちんと整理し直したほうがいいと思います。

─ 越境移転は、さらに難しい問題を含んでいます。政治家の中には「中国の国家情報法を考えると、中国へのデータ移転そのものが安全管理措置違反ではないか」とする意見もあります。一方で米中は共同研究も非常に盛んで、学術領域のデータの流通はさらに進んでいく可能性があり、国際的に通用するルールの策定が期待されています。

宍戸  これは短期の問題と中長期の問題がありますね。まず短期の問題として、安全保障に直接的に関わるような研究をしている部門や研究室は、安全管理のルールをしっかりつくる必要があります。
 中長期の視点で言えば、学術研究の成果を世界に公表、共有して世に問う意義を、私たち研究者自身がもう一度きちんとかみしめる必要があります。そのうえで、研究分野ごとに安全保障にかかわるルールを考え、日米欧ないし日中といった国際的な枠組みの中で政治に対応を求めていくべきでしょう。
 学術研究とは、国と国の分断を超えて人類全体の発展に寄与することをめざすものです。だからデータ越境を含め、学術機関同士の連携や共同研究、人材の交流は、短期的な国際政治のハイポリティクス(重要性の高い政策領域)とは違った意味で、人類全体の平和や福祉に貢献すべきものと思います。コロナ禍に際して世界が連携して研究を進めているあり様は、その意義を示すとともに、それがうまくいかなかった時にどのような問題が起きるかも如実に示しています。

今後、ルールづくりが求められる領域とNIIの役割

─ これまで個人データを扱ってきた医学や心理学以外に、今後、特に個人データの取り扱いルールの整備が求められる領域は。

宍戸  1つはいわゆる社会調査。例えば政治的な調査や世論調査ですね。最近の研究では、「ある選挙区のこの年齢層のこの所得層にこういうメッセージを送れば投票行動が変わる可能性がある」といった、マイクロな分析ができるようになってきました。研究の深化でよりマイクロな分析が可能になれば、個人情報保護法制との関係でルールを見直していく必要性が出てくるだろうと思います。
 もう1つは「総合的な知」をめざす研究です。特に総合大学などでは、個別の研究分野について深掘りするだけでなく、学際的・総合的な研究を通じて社会全体をトータルに理解しようとする研究が進んでいます。
 例えば予防医療や健康保険の適正な運営などを研究する医療経済学などがその典型でしょう。いずれも学際的な研究分野であり、各所からさまざまな情報や知恵を集める必要があります。いわゆるコホート研究6のように、予防接種の有無から生活態度まで、個人に関するあらゆるデータを集めて知見を得る試みもあります。
 このように学際的な形でデータの乗り入れが進むのは、データ駆動型社会のあるべき姿とも言えます。その一方で、研究という名の下にさまざまなデータが1カ所に集まった結果、本来は匿名だったデータセットから特定の個人を識別できてしまうような事態も起こり得ます。そうしたリスクに対して、私たちはそろそろ頭の体操を始める必要がありそうです。

─ ルール形成において情報学、またNIIに何ができるでしょうか。

宍戸  「データとは何か」、また「データに関する知というのはどういうものであるか」というテーマは情報学のフロンティアです。情報学という学問は今、学術研究全体にとって極めて重要な役割を果たす基幹的な領域になりつつあります。
 大学や研究機関の中にも情報学あるいはそれに関わる部門がそれぞれにありますが、その中でもNIIは文系・理系の垣根を越えて研究者が集まっています。NIIは情報学それ自体の発展に加え、情報学を通じた我が国の学術研究全体の発展に寄与するという観点から役割を果たしていくべきだろうと思います。情報学という枠にとらわれず、研究者が集まって議論し、情報を発信するプラットフォーム、あるいはコーディネーターとしての役割を強化していくべきでしょうね。

(写真=古末 拓也)

【用語解説】

[1]個人情報保護法の改正:個人情報保護法は2003年に成立したが、情報技術の進展に伴い個人情報の保護対象が拡大することを前提に、原則として3年ごとの見直し規定が設けられている。現行法(2021年9月現在)は2015年に成立し、2017年に施行。その後さらに、2020年と2021年に改正されている。

[2]第三者提供:事業者が保有する個人データを、その事業者以外の者に提供すること。第三者提供は、原則、本人の同意がない限りできない。

[3]医師の守秘義務:医師・患者関係において知り得た患者に関する秘密を他に漏洩してはならないという医師の義務。

[4]通信の秘密:憲法21条2項に定められた規定で、個人間の通信(信書・電話・電波・電子メールなど)の内容の秘匿を保障するもの。そのうえで、電気通信事業法4条に「電気通信事業者の取扱中に係る通信の秘密は、侵してはならない。電気通信事業に従事する者は、在職中電気通信事業者の取扱中に係る通信に関して知り得た他人の秘密を守らなければならない。その職を退いた後においても、同様とする」と定められている。

[5]個人情報保護委員会:個人情報(特定個人情報を含む)の有用性に配慮しつつ、その適 正な取り扱いを確保するために、2016年に設置された独立の規制機関。個人情報の保護に関する基本方針の策定・推進、個人情報等に関する監督、認定個人情報保護団体に関する事務などを行う。

[6]コホート研究:調査の時点で、仮説として考えられる要因を持つ集団と、持たない集団を追跡し、両群の疾病の罹患率や死亡率を比較する方法。

インタビュアーからのひとこと

 学術機関にも、個人データについて民間企業なみの安全管理措置が求められる─こう聞くと研究者にとってやっかいな話に聞こえる。とは言え、現状のような「一切の義務なし」のままでは、GDPRを運用するEUの研究機関などとの連携に支障をきたす恐れもあり、この見直しは必然だったと言えるだろう。一方で、米中対立をはじめ安全保障の論理によるデータ流通の制限が、国をまたいだ共同研究を妨げる懸念も強まっている。宍戸教授が語った「学術研究とは、国と国の分断を超えて人類全体の発展に寄与するもの」という言葉を胸に置きつつ、過度な制限は引き続き批判的にウォッチする必要がありそうだ。

第92号の記事一覧